¿Qué es el criptojacking? Tipos y ejemplos del mundo real

En los últimos años, el criptojacking se ha convertido en una de las amenazas más graves para la ciberseguridad. El criptojacking es un ciberataque que roba recursos informáticos para minar criptomonedas sin autorización. Las minas no reguladas pueden suponer una enorme carga financiera para el sector financiero, que registra pérdidas masivas, y las organizaciones se enfrentan a unos costes operativos más elevados, ya que se observan daños en el hardware y un aumento del consumo de energía.

En este blog, analizaremos qué es el criptojacking y cuáles son algunas de las técnicas de ataque, los mecanismos de detección y las estrategias de defensa contra el criptojacking. También analizaremos cómo los atacantes propagan el malware de minería utilizando una serie de vectores de ataque, incluidos los indicadores de compromiso más comunes, y describiremos las mejores formas de protegerse contra estas amenazas.

¿Qué es el cryptojacking?

El criptojacking consiste en secuestrar dispositivos informáticos para minar criptomonedas. En este proceso, los atacantes insertan malware para que el dispositivo objetivo resuelva complicados cálculos matemáticos necesarios para la minería de criptomonedas. La minería es el proceso mediante el cual se verifican y registran las transacciones de criptomonedas en la cadena de bloques.

La minería consume mucha potencia computacional. Los criptojackers secuestran un sistema y utilizan su CPU y GPU para la minería. Por lo general, se centran en criptomonedas que aún ofrecen rendimientos rentables con el uso de hardware informático normal, como Monero (ya que su algoritmo de minería es compatible con las CPU).

¿Por qué es tan peligroso el criptojacking?

El criptojacking puede ser muy grave para las organizaciones, ya que puede funcionar durante mucho tiempo a gran escala sin ser detectado y causar daños masivos. Afecta directamente al rendimiento del sistema, ya que utiliza los recursos de la CPU para la minería. Este uso puede degradar el hardware, especialmente en sistemas que funcionan las 24 horas del día, los 7 días de la semana, a plena capacidad o casi.

Esta amenaza va más allá del simple impacto en dispositivos individuales. El malware de criptojacking suele incorporar características similares a las de un gusano, de modo que se propaga por las redes. A continuación, el malware busca otros sistemas vulnerables dentro de la red y crea una red de nodos de minería. Este comportamiento amplía la superficie de ataque y complica el proceso de eliminación.

Impacto del criptojacking

El criptojacking tiene un impacto financiero no lineal. El funcionamiento de múltiples sistemas a su máxima capacidad provoca un aumento de los costes de electricidad para las organizaciones. El desgaste continuo conlleva costes de sustitución de hardware. Esto puede dar lugar a un rendimiento deficiente, pero también a una pérdida de tiempo significativa en la implementación de estos servicios y a un mayor riesgo de interrupciones del servicio. Las repercusiones en el negocio también incluyen lo siguiente:

• Incumplimiento normativo debido a la ejecución de código no autorizado
• Riesgo de exposición a responsabilidad legal por actividades mineras no autorizadas

Y la huella medioambiental también es notable. Cuando estos atacantes se dirigen a centros de datos o infraestructuras en la nube, las operaciones de criptojacking resultantes adquieren una gran escala, lo que aumenta considerablemente el consumo de energía y las emisiones de carbono.

Síntomas comunes del criptojacking

Los administradores de sistemas pueden detectar el criptojacking mediante algunos de los sospechosos habituales. Incluso en estado inactivo, cuando no se está ejecutando ninguna aplicación de usuario, el uso elevado de la CPU persiste. En el Administrador de tareas o en una herramienta de supervisión del sistema se pueden ver procesos desconocidos que consumen muchos recursos.

Este tipo de patrón suele revelarse mediante la supervisión de la red. Los sistemas infectados tienen conexiones salientes continuas con el grupo de minería o los servidores de comando y control (C2). Estos enlaces suelen utilizar métodos específicos relacionados con los protocolos de minería que los equipos de seguridad deben identificar.

El hardware afectado muestra síntomas físicos. Los sistemas se calientan y los ventiladores de refrigeración funcionan a toda velocidad. Si el dispositivo funciona con batería, la duración de esta se reduce considerablemente. En casos extremos, esto provoca que los sistemas se bloqueen o se apaguen por protección térmica.

El criptojacking a través del navegador tiene ciertos indicadores. Incluso con solo unas pocas pestañas abiertas, los navegadores web agotan los recursos de la CPU. La degradación del rendimiento continúa hasta que se cierran las pestañas del navegador correspondientes.

Tipos de ataques de criptojacking

Aunque el criptojacking ha ganado mucha atención en los últimos años, este tipo de ataque dista mucho de ser monolítico, ya que utiliza diversas metodologías para infiltrarse en los sistemas y minar criptomonedas. Estos tipos de ataques difieren en la forma en que se despliegan, la forma en que persisten y el nivel de impacto.

1. Criptojacking basado en navegadores

El criptojacking basado en navegadores implica que se ha implementado código de minería en los navegadores web, posiblemente como resultado de que hackers hayan tomado el control de sitios web. Los mineros JavaScript se inician automáticamente cuando los usuarios visitan sitios infectados y no descargan archivos al sistema; por lo tanto, el usuario no recibe ninguna alerta.

2. Criptojacking basado en binarios

En los ataques basados en binarios, los atacantes envían archivos ejecutables maliciosos a los sistemas objetivo. Estos mineros operan como un proceso independiente que (normalmente) se disfraza como un servicio legítimo del sistema. Permanecen activos tras los reinicios del sistema y suelen ser más eficientes que los basados en navegadores, ya que pueden acceder directamente al hardware.

3. Criptojacking en la cadena de suministro

El criptojacking en la cadena de suministro secuestra canales de distribución de software auténticos para distribuir malware de minería en su lugar. El atacante añade código de minería a los paquetes de software, las actualizaciones o las dependencias. Los componentes de minería se implementan automáticamente junto con una firma digital cada vez que los usuarios instalan o actualizan el software afectado.

4. Criptojacking sin archivos

El criptojacking sin archivos utiliza todo el proceso en la memoria del sistema en lugar de escribir en el disco. En estos ataques, se utilizan scripts de PowerShell u otras herramientas nativas de Windows para descargar y ejecutar código de minería. La detección se vuelve más difícil debido a la ausencia de artefactos en el disco.

5. Cryptojacking en la infraestructura en la nube

Los ataques se producen en la infraestructura en la nube y se dirigen a recursos y contenedores en la nube mal configurados. En las instancias en la nube, la implementación del minero se realiza a través de la superficie de ataque que presentan las interfaces de gestión expuestas o a través de credenciales débiles configuradas de forma incorrecta. Estos ataques pueden aumentar rápidamente de tamaño al aprovisionar recursos adicionales en la nube utilizando credenciales de cuentas legítimas que han sido comprometidas.

¿Cómo funcionan los ataques de criptojacking?

En el criptojacking, los atacantes utilizan diversos pasos técnicos para llevar a cabo una acción que les permita desplegar código de minería y permanecer persistentes. Aunque cada técnica tiene diferentes vectores de ataque y diferentes formas de explotación, todas tienen enfoques esencialmente similares, que consisten en evitar la detección maximizando el rendimiento de la minería.

Técnicas de inyección basadas en el navegador

El primer paso en el criptojacking basado en el navegador es comprometer sitios web legítimos. En los ataques de rastreo de dominios, los hackers incrustan código JavaScript de minería en páginas web a través de complementos vulnerables, sistemas de gestión de contenidos obsoletos o bibliotecas de terceros comprometidas. Cuando este código se ejecuta dentro del navegador de un visitante, se conecta a grupos de minería con conexiones WebSocket y comienza a minar. Estos scripts suelen estar construidos con capas de limitación para que sean menos visibles y emplean la verificación de dominios para evitar la duplicación de código.

Ataques basados en binarios

Los ataques binarios comienzan con el compromiso inicial del sistema a través de phishing, exploits o descargas maliciosas. Coloca ejecutables de minería y archivos de apoyo en varias carpetas del sistema. Estos contienen información sobre la configuración de los grupos de minería, las direcciones de los monederos y el uso de la CPU. La persistencia se consigue añadiendo claves de registro, programando tareas o instalando un servicio.

Métodos de compromiso de la cadena de suministro

Este tipo de ataque se dirige a los sistemas de compilación de software, los servidores de actualización o los repositorios de paquetes. El atacante añade los componentes de minería al código fuente o a los scripts de compilación. Estos paquetes mantienen su propósito previo a la infección y, en su lugar, ejecutan la minería en segundo plano. Los atacantes han utilizado repetidamente certificados de firma de código adquiridos legítimamente a proveedores de renombre para evadir la detección o los controles de seguridad. El código de minería se ejecuta después de la secuencia de instalación normal.

Enfoques de malware sin archivos

El criptojacking sin archivos ejecuta el código de minería directamente en la memoria, utilizando herramientas del sistema como PowerShell o Windows Management Instrumentation (WMI). Estos compromisos suelen producirse a través de scripts o macros maliciosos, que descargan configuraciones de minería cifradas por el servidor de comandos y las descodifican en la memoria. El ataque establece la persistencia a través de suscripciones a eventos WMI o claves de ejecución del registro que recargan el código de minería después de que el dispositivo se reinicia.

Técnicas comunes de detección de criptojacking

Para detectar los ataques de criptojacking es necesario supervisar varios componentes del sistema y analizar una serie de indicadores técnicos. Para identificar realmente las actividades de minería en su infraestructura, las organizaciones requieren un enfoque por capas.

1. Indicadores de rendimiento del sistema

Todo comienza con la supervisión del uso de la CPU y la GPU para investigar la presencia de criptojacking. Herramientas como la supervisión del nivel de actividad del procesador y la detección de un uso elevado sostenido fuera de los límites de la actividad normal suelen activar una alerta. Los sensores de temperatura proporcionan información sobre comportamientos extraños en la temperatura. La supervisión de aplicaciones muestra aplicaciones que consumen muchos recursos y se ejecutan desde ubicaciones inadecuadas.

2. Análisis del tráfico de red

El segundo tipo de detección, la detección basada en la red, presta más atención a las comunicaciones a través del grupo de minería. Las conexiones a dominios conocidos de grupos de minería y direcciones IP en el extranjero se han revelado mediante una inspección profunda de paquetes. Si las herramientas de análisis de tráfico detectan patrones de datos consistentes que coinciden con los protocolos de minería, esto indica que algo va mal. Detecta conexiones cifradas SSL/TLS a servicios de minería.

3. Enfoques forenses de memoria

Las herramientas de análisis de memoria toman una instantánea de la memoria para analizar lo que está sucediendo en el código con las firmas. Se utilizan para detectar técnicas de inyección de procesos mineros. Los escáneres de memoria identifican direcciones de monederos de criptomonedas y URL de grupos de minería dentro de la memoria del proceso. Al analizar el tiempo de ejecución, pueden encontrar ciertos patrones de código que empiezan a coincidir con los algoritmos de minería conocidos.

4. Supervisión de la actividad de PowerShell

La supervisión de PowerShell consiste en supervisar la detección de minería sin archivos. Las herramientas de seguridad registran y analizan las ejecuciones de comandos de PowerShell. Comandos de minería de criptomonedas y configuración en el registro de bloques de scripts. El registro de módulos registra el uso de los módulos de PowerShell en la minería. El registro de transcripciones captura los detalles completos de la sesión para el análisis forense de las sesiones de PowerShell.

5. Análisis del comportamiento del navegador

Las herramientas de supervisión del navegador supervisan automáticamente si un navegador está realizando minería utilizando JavaScript o no. Los analizadores de extensiones detectan códigos de minería en las extensiones del navegador. Se colocan monitores en las páginas web para vigilar la ejecución de JavaScript con el fin de minar monedas. Las conexiones WebSocket a los servicios de minería son detectadas por los analizadores de solicitudes de red.

Prácticas recomendadas para la protección contra el criptojacking

La prevención de los sistemas de criptojacking requiere una combinación de controles de seguridad y diversos procedimientos operativos. Estas prácticas crean capas de defensa que pueden prevenir un compromiso inicial y los intentos de minería.

1. Configuración de seguridad del navegador

Se comienza por configurar algunos ajustes de seguridad dentro del navegador para evitar que JavaScript ejecute determinadas funciones. Los equipos de seguridad ven esto y utilizan extensiones de bloqueo de scripts que impiden la ejecución de todo el código de minería activo. Los dominios de minería se bloquean con políticas de seguridad de contenido. La ejecución de WebAssembly se puede desactivar en contextos no fiables mediante políticas del navegador. Las actualizaciones periódicas del navegador corrigen las vulnerabilidades que permiten la inyección de código de minería.

2. Implementación de la supervisión de la red

Para defender la red, las organizaciones deben implementar herramientas de supervisión en los puntos relevantes de su infraestructura. Las firmas son utilizadas por los sistemas de detección de intrusiones para reconocer el tráfico de los grupos de minería. El malware de minería que se mueve lateralmente se bloquea mediante la segmentación de la red. El filtrado de DNS impide las conexiones desde el objetivo a los dominios identificados como grupos de minería. Los patrones de tráfico inusuales de los sistemas secuestrados se detectan mediante la supervisión del ancho de banda.

3. Configuración de la protección de endpoints

Las herramientas de seguridad de endpoints ayudan a garantizar la protección contra el malware de minería. Las listas blancas de aplicaciones ayudan a bloquear la ejecución de mineros no autorizados. Si se detecta un proceso de minería, este se terminará o se eliminará, y no podrá realizar ningún tipo de piggybacking malicioso por sí solo. Las alertas de utilización de recursos identifican la actividad del sistema que parece sospechosa. Los cambios no autorizados en un sistema se rastrean mediante la supervisión de la integridad de los archivos. La protección de la memoria dificulta los métodos de inyección de código que emplean los mineros.

4. Requisitos de concienciación sobre seguridad

Las amenazas de criptojacking deben incluirse en los programas de concienciación sobre seguridad para educar a los usuarios. La formación incluye la detección de comportamientos extraños en el sistema. Los empleados deben recibir formación sobre cómo descargar y ejecutar de forma segura el software de Internet. El proceso de notificación de incidentes permite a las organizaciones responder rápidamente a las infecciones sospechosas.

5. Estrategias de gestión de parches

Las estrategias de gestión de parches protegen los sistemas contra el aprovechamiento de vulnerabilidades conocidas. Los equipos de seguridad deben disponer de actualizaciones programadas para todos los sistemas. Esto garantiza que las organizaciones obtengan cobertura a tiempo mediante la implementación automatizada de parches. La identificación de sistemas sin parches y el análisis de vulnerabilidades del estado de los parches en toda la infraestructura se supervisan mediante la gestión de la configuración.

Conclusión

El criptojacking es una amenaza continua para la ciberseguridad que sigue evolucionando en complejidad y escala. Además de agotar los recursos informáticos, estos ataques también provocan grandes pérdidas económicas debido al aumento de los costes operativos, los daños al hardware y las multas por cualquier infracción de la normativa que pueda producirse. Para las organizaciones, detectar y detener a los mineros supone un reto, ya que estos emplean técnicas de evasión cada vez más sofisticadas.

Las empresas están preparadas para adaptar las soluciones a los costes de la detección y respuesta rápidas con su postura de seguridad en la nube, ofreciendo protección contra el criptojacking. Conocer estos vectores de ataque, las inyecciones basadas en navegadores, el malware sin archivos, etc., permite a la organización implementar las defensas adecuadas. Una estrategia de defensa sólida contra el criptojacking consistirá en la supervisión del sistema, el análisis de la red y la concienciación de los empleados.

"